Инженер по инцидентам информационной безопасности

О компании и команде

Small - крупнейший казахстанский ритейлер с более чем 150 магазинами, собственными ЦОДами и облачной платформой. Мы активно развиваем команду информационной безопасности в компании и ищем опытного инженера, который понимает, как из логов рождается осмысленная картина. Нам нужен человек, который поднимет SIEM, соберёт события со всех систем, напишет корреляции и поможет выстроить процесс реагирования.

Задачи

- Разворачивать и сопровождать SIEM/лог-платформу (предпочтительно на базе open-source: Wazuh, ELK, Graylog, TheHive, MISP).
- Настраивать сбор событий со всех систем: инфраструктура, сеть, СЗИ, почта, VPN, AD.
- Разрабатывать и оптимизировать правила корреляции, дашборды, уведомления.
- Писать парсеры, нормализовать логи, строить отчётность.
- Реализовывать базовые playbook’и для triage и реагирования.
- Интегрировать SIEM с Service Desk, IDM, мониторингом.
- Анализировать инциденты, помогать в расследованиях и эскалации.

Требования

- Уверенные знания Linux и сетевых протоколов.
- Опыт работы с SIEM-платформами (Wazuh, ELK, Graylog, Splunk, QRadar и т.п.).
- Навыки написания парсеров (grok, regex), корреляций и оповещений.
- Понимание принципов Incident Response (containment, eradication, recovery).
- Навыки скриптинга (Python, Bash), автоматизация обработки событий.
- Знание MITRE ATT&CK, Sigma, IOC.

Будет плюсом

- Опыт построения SOC на open-source стеке.
- Знание TheHive, Cortex, MISP, OpenCTI.
- Опыт интеграции с EDR, NGFW, PAM.

Мы предлагаем

- Возможность работать удаленно или в офисе в Алматы.
- Построить SIEM и процессы реагирования «с нуля», без легаси и бюрократии.
- Работу на стыке инженерии и расследований.
- Свободу выбора инструментов и технологий.
- Команду, где ценят инициативу и техническое любопытство.